IPSEC
IPsec es un protocolo IETF (Internet Engineering Task Forte) que define la forma en que se puede configurar una VPN de manera segura mediante el protocolo de Internet.
Figura 1: VPN
Figura 2: Funcionamiento de IPSec
1.SUB-PROTOCOLOS DE IPSEC
1.1. Authentication Header (AH) - Cabecera de Autenticación. Es un protocolo de seguridad que proporciona integridad de los datos, autenticación del origen de los datos y un servicio opcional de repetición de protección de datos.
- Integridad de datos, está garantizada por el uso de un mensaje que es generado por un algoritmo tal como HMAC-MD5 o HMAC-SHA.
- Autenticación del origen de datos, está garantizada mediante el uso de una clave secreta compartida para crear el resumen del mensaje.
- Repetición de protección de datos, se proporciona mediante el uso de un campo de número de secuencia con la cabecera AH.
AH autentica cabeceras IP y sus cargas útiles, con la excepción de ciertos campos de cabecera que se puede cambiar legítimamente en tránsito, tales como el tiempo de vida (TTL).
Figura 3: Cabecera AH 1.2. Encapsulating Security Payload Protocol (ESP) - Protocolo Encapsulación de Seguridad de carga útil ESP proporciona confidencialidad de datos (cifrado) y autentificación (integridad de los datos, autenticación del origen de los datos, y la repetición de protección de datos). ESP se puede utilizar solamente la confidencialidad, solamente la autenticación, o confidencialidad y autenticación. ESP proporciona funciones de autenticación, que utiliza los mismos algoritmos del AH, pero el cobertura es diferente. Autenticación de estilo AH autentica el todo Paquete IP, incluyendo la cabecera IP externa, mientras que la autenticación ESP autentica sólo la parte datagrama IP del paquete IP.
Figura 4: Cabera ESP 2.SERVICIOS IPSec Los servicios de seguridad IPsec proporcionan cuatro funciones fundamentales, las cuales se muestran en la ilustración: 2.1.Confidencialidad (cifrado): En una VPN, los datos privados se transfieren a través de una red pública. Por este motivo, la confidencialidad de los datos es fundamental. Este es el proceso de tomar todos los datos que una computadora envía a otra y codificarlos de una manera que solo la otra computadora pueda decodificar. Si se intercepta la comunicación, el pirata informático no puede leer los datos. IPsec proporciona características de seguridad mejoradas, como algoritmos de cifrado seguros.
2.2.Integridad de datos: El receptor puede verificar que los datos se hayan transmitido a través de Internet sin sufrir ningún tipo de modificaciones ni alteraciones. Es importante verificar que no se hayan modificado cuando estaban en tránsito. IPsec cuenta con un mecanismo para asegurarse de que la porción cifrada de la data. IPsec asegura la integridad de los datos mediante checksums, que es una comprobación de redundancia simple. Si se detecta una alteración, el paquete se descarta.
2.3.Autenticación: Verifica la identidad del origen de los datos que se envían. Esto es necesario para la protección contra distintos ataques que dependen de la suplantación de identidad del emisor. La autenticación asegura que se cree una conexión con el compañero de comunicación deseado. El receptor puede autenticar el origen del paquete mediante la certificación del origen de la información.
IPsec es un protocolo IETF (Internet Engineering Task Forte) que define la forma en que se puede configurar una VPN de manera segura mediante el protocolo de Internet.
Figura 1: VPN
Figura 2: Funcionamiento de IPSec
1.1. Authentication Header (AH) - Cabecera de Autenticación.
Es un protocolo de seguridad que proporciona integridad de los datos, autenticación del origen de los datos y un servicio opcional de repetición de protección de datos.
- Integridad de datos, está garantizada por el uso de un mensaje que es generado por un algoritmo tal como HMAC-MD5 o HMAC-SHA.
- Autenticación del origen de datos, está garantizada mediante el uso de una clave secreta compartida para crear el resumen del mensaje.
- Repetición de protección de datos, se proporciona mediante el uso de un campo de número de secuencia con la cabecera AH.
AH autentica cabeceras IP y sus cargas útiles, con la excepción de ciertos campos de cabecera que se puede cambiar legítimamente en tránsito, tales como el tiempo de vida (TTL).
Figura 3: Cabecera AH
1.2. Encapsulating Security Payload Protocol (ESP) - Protocolo Encapsulación de Seguridad de carga útil
ESP proporciona confidencialidad de datos (cifrado) y autentificación (integridad de los datos, autenticación del origen de los datos, y la repetición de protección de datos). ESP se puede utilizar solamente la confidencialidad, solamente la autenticación, o confidencialidad y autenticación. ESP proporciona funciones de autenticación, que utiliza los mismos algoritmos del AH, pero el cobertura es diferente. Autenticación de estilo AH autentica el todo Paquete IP, incluyendo la cabecera IP externa, mientras que la autenticación ESP autentica sólo la parte datagrama IP del paquete IP.
Figura 4: Cabera ESP
2.SERVICIOS IPSec
Los servicios de seguridad IPsec proporcionan cuatro funciones fundamentales, las cuales se muestran en la ilustración:
2.1.Confidencialidad (cifrado): En una VPN, los datos privados se transfieren a través de una red pública. Por este motivo, la confidencialidad de los datos es fundamental. Este es el proceso de tomar todos los datos que una computadora envía a otra y codificarlos de una manera que solo la otra computadora pueda decodificar. Si se intercepta la comunicación, el pirata informático no puede leer los datos. IPsec proporciona características de seguridad mejoradas, como algoritmos de cifrado seguros.
2.2.Integridad de datos: El receptor puede verificar que los datos se hayan transmitido a través de Internet sin sufrir ningún tipo de modificaciones ni alteraciones. Es importante verificar que no se hayan modificado cuando estaban en tránsito. IPsec cuenta con un mecanismo para asegurarse de que la porción cifrada de la data. IPsec asegura la integridad de los datos mediante checksums, que es una comprobación de redundancia simple. Si se detecta una alteración, el paquete se descarta.
2.3.Autenticación: Verifica la identidad del origen de los datos que se envían. Esto es necesario para la protección contra distintos ataques que dependen de la suplantación de identidad del emisor. La autenticación asegura que se cree una conexión con el compañero de comunicación deseado. El receptor puede autenticar el origen del paquete mediante la certificación del origen de la información.